دنیای گواهیهای SSL/TLS وارد یک تغییر بزرگ و جدی شده است. طبق زمانبندی جدید صنعت گواهی دیجیتال، اعتبار گواهیهای عمومی SSL/TLS بهصورت مرحلهای کوتاهتر میشود؛ ابتدا به حدود ۲۰۰ روز، سپس ۱۰۰ روز و در نهایت از سال ۲۰۲۹ به حداکثر ۴۷ روز میرسد. این یعنی مدل قدیمی «سالانه یکبار SSL را تمدید میکنیم و تمام» عملاً در حال تمام شدن است.
این تغییر فقط یک خبر فنی ساده نیست. اگر سایت، فروشگاه اینترنتی، سامانه سازمانی، API، سرویس داخلی، کنترل پنل، وبمیل، پنل مشتریان، سرور ابری یا حتی چند دامنه و سابدامنه دارید، باید از همین حالا برای مدیریت کوتاهمدتتر گواهیهای SSL آماده شوید. در آینده نزدیک، خطای انقضای SSL میتواند برای سایتهایی که هنوز با روش دستی تمدید میشوند، بسیار رایجتر شود.
طبق اطلاعیه Certum، از ۱۵ مارس ۲۰۲۶ اعتبار گواهیهای SSL/TLS به ۲۰۰ روز کاهش پیدا میکند، از ۱۵ مارس ۲۰۲۷ به ۱۰۰ روز میرسد و از ۱۵ مارس ۲۰۲۹ حداکثر اعتبار گواهیهای جدید ۴۷ روز خواهد بود. این تغییر شامل گواهیهای DV، OV و EV میشود و روی فرآیند تمدید، صدور مجدد، اعتبارسنجی دامنه و مدیریت عملیاتی SSL اثر مستقیم دارد.
در این مقاله توضیح میدهیم چرا اعتبار SSL کوتاهتر میشود، زمانبندی دقیق تغییرات چیست، این موضوع چه اثری روی سایتها و شرکتهای هاستینگ دارد، چرا اتوماسیون با ACME اهمیت پیدا میکند، کسبوکارها چه خطراتی را باید جدی بگیرند و برای جلوگیری از قطعی سایت بهدلیل انقضای SSL چه چکلیستی باید اجرا شود.
اگر هنوز با مفهوم SSL آشنا نیستید، پیشنهاد میکنیم ابتدا مقاله SSL چیست؟ را بخوانید. اگر هم برای سایت یا سازمان خود به گواهی نیاز دارید، صفحه گواهی SSL پویاسازان میتواند نقطه شروع مناسبی باشد.
سطح: متوسط | مناسب برای: مدیران سایت، شرکتهای هاستینگ، مدیران سرور، مدیران امنیت، تیمهای DevOps، فروشگاههای اینترنتی، سازمانها و افرادی که گواهی SSL/TLS سایتها، دامنهها، سرویسهای داخلی، APIها یا زیرساخت ابری را مدیریت میکنند
فهرست مطالب
- خلاصه سریع تغییرات SSL/TLS
- دقیقاً چه چیزی در اعتبار SSL/TLS تغییر میکند؟
- زمانبندی کاهش اعتبار گواهیهای SSL/TLS
- چرا اعتبار گواهی SSL کوتاهتر میشود؟
- این تغییر شامل چه نوع گواهیهایی میشود؟
- گواهیهایی که قبل از تاریخهای جدید صادر شدهاند چه میشوند؟
- کاهش دوره اعتبارسنجی دامنه یا DCV یعنی چه؟
- چرا تمدید دستی SSL خطرناکتر میشود؟
- اثر این تغییر روی سایتها و فروشگاههای اینترنتی
- اثر کاهش اعتبار SSL روی شرکتهای هاستینگ
- کدام سازمانها بیشتر تحت تأثیر قرار میگیرند؟
- ACME چیست و چرا مهم میشود؟
- وضعیت cPanel، Plesk و کنترل پنلهای هاستینگ
- مرحله ۱: فهرست کامل گواهیهای SSL را تهیه کنید
- مرحله ۲: مانیتورینگ انقضای SSL را فعال کنید
- مرحله ۳: تمدید و نصب SSL را تا حد امکان خودکار کنید
- مرحله ۴: سیستمهای قدیمی و ناسازگار را شناسایی کنید
- مرحله ۵: ایمیلها و مسئولیتهای تمدید را اصلاح کنید
- چکلیست آمادگی برای SSLهای کوتاهمدت
- سوالات متداول
خلاصه سریع تغییرات SSL/TLS
اگر فرصت خواندن کل مقاله را ندارید، خلاصه موضوع این است:
- اعتبار گواهیهای عمومی SSL/TLS بهصورت مرحلهای کوتاهتر میشود.
- از مارس ۲۰۲۶ حداکثر اعتبار گواهیهای جدید حدود ۲۰۰ روز خواهد بود.
- از مارس ۲۰۲۷ این عدد به ۱۰۰ روز کاهش پیدا میکند.
- از مارس ۲۰۲۹ حداکثر اعتبار گواهیهای جدید به ۴۷ روز میرسد.
- دوره استفاده مجدد از اعتبارسنجی دامنه نیز کوتاهتر میشود.
- گواهیهایی که قبل از هر مرحله صادر شدهاند، تا تاریخ انقضای خود معتبر میمانند.
- مدیریت دستی تمدید SSL در این مدل جدید بسیار پرریسک میشود.
- سایتها، هاستینگها و سازمانها باید به سمت اتوماسیون، ACME، مانیتورینگ و مدیریت مرکزی گواهیها حرکت کنند.
دقیقاً چه چیزی در اعتبار SSL/TLS تغییر میکند؟
تا امروز بسیاری از گواهیهای SSL/TLS عمومی با اعتبار نزدیک به یک سال صادر میشدند. این مدل برای مدیران سایتها ساده بود؛ سالی یکبار تمدید SSL انجام میشد و در بسیاری از موارد، تا سال بعد کسی سراغ آن نمیرفت. اما صنعت گواهی دیجیتال به این نتیجه رسیده که دورههای طولانی اعتبار، از نظر امنیت، چابکی و بهروزرسانی اطلاعات هویتی ایدهآل نیستند.
در مدل جدید، حداکثر دوره اعتبار گواهیها مرحلهبهمرحله کوتاهتر میشود. این یعنی گواهی SSL دیگر یک کار سالانه نیست؛ بلکه به یک فرآیند دائمی و عملیاتی تبدیل میشود.
این تغییر چند بخش مهم دارد:
- کاهش حداکثر مدت اعتبار خود گواهی SSL/TLS
- کاهش مدت اعتبار دادههای اعتبارسنجی دامنه یا Domain Control Validation
- نیاز بیشتر به reissue یا صدور مجدد در دوره اعتبار محصول
- افزایش اهمیت اتوماسیون صدور، نصب و تمدید SSL
- افزایش ریسک قطعی سایت برای تیمهایی که هنوز دستی کار میکنند
به زبان ساده، SSL از یک کار دورهای کمتکرار به یک فرآیند مداوم تبدیل میشود.
زمانبندی کاهش اعتبار گواهیهای SSL/TLS
بر اساس زمانبندی اعلامشده، کاهش اعتبار گواهیهای SSL/TLS در چند مرحله انجام میشود:
| تاریخ | حداکثر اعتبار گواهی SSL/TLS | حداکثر دوره استفاده مجدد از اعتبارسنجی دامنه |
|---|---|---|
| قبل از مارس ۲۰۲۶ | تا حدود ۳۹۸ روز | تا حدود ۳۹۸ روز |
| از ۱۵ مارس ۲۰۲۶ | ۲۰۰ روز | ۲۰۰ روز |
| از ۱۵ مارس ۲۰۲۷ | ۱۰۰ روز | ۱۰۰ روز |
| از ۱۵ مارس ۲۰۲۹ | ۴۷ روز | ۱۰ روز |
Certum همچنین اعلام کرده که در اجرای عملی این تغییر، از ۱۳ مارس ۲۰۲۶ حداکثر اعتبار ۱۹۹ روز برای گواهیهای صادرشده توسط این CA اعمال میشود. این نوع اختلاف یک یا چندروزه در برخی CAها برای رعایت دقیق deadlineها و جلوگیری از خطای محاسبه زمانی طبیعی است.
نتیجه مهم این جدول این است که از سال ۲۰۲۹ تمدید ماهانه SSL به یک واقعیت عملی تبدیل میشود. در چنین شرایطی، مدیریت دستی نهتنها سخت، بلکه از نظر عملیاتی خطرناک خواهد بود.
چرا اعتبار گواهی SSL کوتاهتر میشود؟
کاهش اعتبار SSL/TLS فقط برای سختتر کردن کار مدیران سایت نیست. این تصمیم چند هدف امنیتی و عملیاتی دارد.
مهمترین دلایل این تغییر:
- کاهش ریسک کلید لو رفته: اگر private key یک گواهی به خطر بیفتد، اعتبار کوتاهتر باعث میشود پنجره سوءاستفاده کوتاهتر باشد.
- بهروزرسانی سریعتر استانداردها: وقتی گواهیها زودتر تمدید میشوند، الگوریتمها، سیاستها و استانداردهای جدید سریعتر وارد چرخه عملیاتی میشوند.
- کاهش وابستگی به revocation: سیستمهای revocation مثل CRL و OCSP همیشه بینقص نیستند. اعتبار کوتاهتر کمک میکند گواهیهای مشکلدار زودتر منقضی شوند.
- اعتبارسنجی مکرر اطلاعات: اطلاعات دامنه، سازمان و مالکیت سرویسها باید مرتبتر بررسی شوند.
- افزایش crypto agility: سازمانها باید برای تغییرات آینده، از جمله الگوریتمهای جدید و گذارهای امنیتی بزرگتر، چابکتر شوند.
بهصورت خلاصه، هدف این است که اکوسیستم وب امنتر، بهروزتر و چابکتر شود؛ اما هزینه عملیاتی این تصمیم برای تیمهایی که هنوز اتوماسیون ندارند، قابل توجه خواهد بود.
این تغییر شامل چه نوع گواهیهایی میشود؟
این کاهش اعتبار شامل گواهیهای عمومی SSL/TLS میشود؛ یعنی گواهیهایی که برای سایتها و سرویسهای عمومی اینترنت صادر میشوند و توسط مرورگرها و سیستمعاملها مورد اعتماد هستند.
از نظر نوع اعتبارسنجی، این تغییر شامل موارد زیر است:
- DV SSL: گواهیهایی که فقط مالکیت یا کنترل دامنه را اعتبارسنجی میکنند.
- OV SSL: گواهیهایی که علاوه بر دامنه، اطلاعات سازمان را هم بررسی میکنند.
- EV SSL: گواهیهایی با سطح اعتبارسنجی سازمانی دقیقتر.
بنابراین اگر سایت شما از گواهی رایگان، تجاری، سازمانی یا EV استفاده میکند، اصل تغییر روی آن اثر دارد. تفاوت اصلی در این است که برای OV و EV، چون فرآیند اعتبارسنجی سازمانی ممکن است زمانبرتر باشد، باید برنامهریزی زودتری برای تمدید و reissue انجام شود.
برای آشنایی با تفاوت مدلهای مختلف گواهی، مقاله تفاوت SSL رایگان و پولی را بخوانید.
گواهیهایی که قبل از تاریخهای جدید صادر شدهاند چه میشوند؟
یکی از سؤالهای مهم این است که اگر قبل از اعمال محدودیت جدید یک گواهی صادر شده باشد، آیا ناگهان اعتبار آن کوتاه میشود؟ پاسخ کلی این است: خیر. گواهیهایی که قبل از هر مرحله صادر شدهاند، معمولاً تا تاریخ انقضای خود معتبر میمانند.
نکته مهم این است که تاریخ صدور گواهی مهم است، نه صرفاً تاریخ خرید محصول. ممکن است شما یک محصول یکساله خریده باشید، اما اگر صدور یا reissue آن بعد از تاریخ اعمال محدودیت جدید انجام شود، گواهی صادرشده باید با محدودیت جدید سازگار باشد.
برای مثال، اگر محصول یکساله SSL دارید اما بعد از شروع محدودیت ۲۰۰روزه گواهی صادر شود، احتمالاً باید در طول همان سال، گواهی را دوباره reissue کنید تا کل دوره محصول پوشش داده شود. Certum نیز در اطلاعیه خود توضیح داده که در چنین شرایطی میتوان از فرآیند reissue برای پوشش کامل دوره محصول استفاده کرد.
کاهش دوره اعتبارسنجی دامنه یا DCV یعنی چه؟
DCV یا Domain Control Validation یعنی CA بررسی میکند که درخواستکننده گواهی واقعاً کنترل دامنه را در اختیار دارد. این اعتبارسنجی ممکن است از طریق ایمیل، DNS record، HTTP file یا روشهای خودکار مانند ACME انجام شود.
در مدل جدید، فقط اعتبار خود گواهی کوتاه نمیشود؛ مدت زمانی که CA میتواند از اعتبارسنجی قبلی دامنه استفاده کند هم کوتاهتر میشود. یعنی ممکن است هنگام reissue یا تمدید، دوباره نیاز به اعتبارسنجی دامنه وجود داشته باشد.
این موضوع مخصوصاً برای سازمانهایی مهم است که:
- دامنههای زیادی دارند.
- DNS توسط تیم جداگانه مدیریت میشود.
- برای تغییر DNS نیاز به approval داخلی دارند.
- از ایمیلهای قدیمی یا غیرمانیتورشده برای validation استفاده میکنند.
- زیرساخت پیچیدهای شامل CDN، Load Balancer، API Gateway و سرویسهای داخلی دارند.
وقتی دوره DCV به ۱۰ روز برسد، فرآیندهای کند داخلی میتوانند مستقیم باعث تأخیر در تمدید SSL و حتی قطعی سرویس شوند.
چرا تمدید دستی SSL خطرناکتر میشود؟
وقتی یک گواهی حدود یک سال اعتبار داشت، تمدید دستی هرچند ایدهآل نبود، اما بسیاری از تیمها با یادآوری تقویم، ایمیل هشدار یا پیگیری دستی آن را مدیریت میکردند. اما با اعتبار ۱۰۰ روزه و بعد ۴۷ روزه، این مدل دیگر مقیاسپذیر نیست.
ریسکهای تمدید دستی در مدل جدید:
- افزایش احتمال فراموشی تمدید
- وابستگی بیش از حد به یک نفر یا یک تیم
- خطای انسانی در نصب certificate chain
- عدم هماهنگی بین تیم دامنه، سرور، امنیت و DevOps
- فراموش شدن گواهیهای داخلی، APIها، پنلها و سرویسهای غیرعمومی
- افزایش تکرار عملیات و در نتیجه افزایش احتمال اشتباه
در سال ۲۰۲۹، اگر سازمانی مثلاً ۱۰۰ گواهی داشته باشد و بخواهد همه را دستی مدیریت کند، عملاً هر ماه با موجی از تمدیدها، نصبها، اعتبارسنجیها و تستها روبهرو خواهد شد. بدون اتوماسیون، این وضعیت به یک ریسک جدی برای uptime تبدیل میشود.
اثر این تغییر روی سایتها و فروشگاههای اینترنتی
برای یک سایت معمولی، انقضای SSL یعنی کاربر هنگام ورود به سایت با خطای امنیتی مرورگر مواجه میشود. در فروشگاه اینترنتی، این خطا میتواند به معنی توقف فروش، از دست رفتن اعتماد مشتری و کاهش نرخ تبدیل باشد.
اثرهای احتمالی روی سایتها:
- نمایش خطای امنیتی در مرورگر
- اختلال در پرداخت آنلاین یا اتصال درگاه بانکی
- مشکل در APIهای متصل به سایت
- کاهش اعتماد کاربران
- اختلال در crawl موتورهای جستجو
- افزایش فشار روی تیم پشتیبانی
اگر سایت شما وردپرسی یا فروشگاهی است، انتخاب سرویس میزبانیای که تمدید SSL، مانیتورینگ و پشتیبانی مناسبی داشته باشد اهمیت بیشتری پیدا میکند. برای چنین سایتهایی میتوانید سرویسهای بهترین هاست وردپرس، خرید هاست وردپرس ایران و خرید هاست اشتراکی را بررسی کنید.
اثر کاهش اعتبار SSL روی شرکتهای هاستینگ
برای شرکتهای هاستینگ، این تغییر فقط به معنی تمدید بیشتر SSL نیست؛ بلکه یعنی کل فرآیند مدیریت گواهی باید بازطراحی شود. اگر هاستینگ شما صدها یا هزاران دامنه را مدیریت میکند، دورههای کوتاهتر SSL میتواند حجم عملیات را چند برابر کند.
شرکتهای هاستینگ باید این موارد را جدی بگیرند:
- اتوماسیون صدور و تمدید SSL برای همه اکانتها
- مانیتورینگ مرکزی انقضای SSL
- هشدار قبل از انقضا برای تیم فنی و مشتری
- پشتیبانی از ACME و AutoSSL
- ثبت دقیق مالکیت دامنه و ایمیلهای معتبر
- مدیریت خطاهای DNS و validation
- گزارشگیری از گواهیهای نزدیک به انقضا
این موضوع برای ارائهدهندگان نمایندگی هاست، نمایندگی هاست لینوکس، خرید هاست لینوکس و سرویسهای چنددامنهای اهمیت بیشتری دارد.
کدام سازمانها بیشتر تحت تأثیر قرار میگیرند؟
همه سایتها تحت تأثیر قرار میگیرند، اما بعضی سازمانها بیشتر آسیبپذیرند.
گروههای پرریسک:
- سازمانهایی با تعداد زیاد دامنه و سابدامنه
- شرکتهایی که SSL را با فایل اکسل یا یادآور ایمیلی مدیریت میکنند
- بانکها، بیمهها، SaaSها، فروشگاههای اینترنتی و اپراتورها
- شرکتهایی که چند برند و چند تیم فنی دارند
- سازمانهایی با سرویسهای قدیمی و legacy
- محیطهای ابری، کانتینری، API محور و microservice
- تیمهایی که فرآیند DNS و SSL در آنها جدا از هم مدیریت میشود
هرچه زیرساخت پراکندهتر و فرآیند دستیتر باشد، ریسک بیشتر میشود.
ACME چیست و چرا مهم میشود؟
ACME پروتکلی برای خودکارسازی صدور و تمدید گواهی SSL/TLS است. ابزارهایی مثل Certbot و بسیاری از سرویسهای AutoSSL یا Certificate Manager از همین ایده استفاده میکنند: سیستم بهصورت خودکار دامنه را اعتبارسنجی میکند، گواهی جدید میگیرد، آن را نصب میکند و سرویس وب را reload میکند.
در مدل جدید SSL، ACME و اتوماسیون دیگر فقط یک امکان جانبی نیستند؛ به یک نیاز عملیاتی تبدیل میشوند.
مزایای اتوماسیون SSL:
- کاهش خطای انسانی
- تمدید بهموقع بدون وابستگی به یادآوری دستی
- امکان مدیریت تعداد زیاد دامنه و سابدامنه
- کاهش ریسک قطعی سرویس
- هماهنگی بهتر با زیرساخت ابری و DevOps
- امکان rotate کردن منظم کلیدها و گواهیها
منابع خارجی پیشنهادی برای مطالعه بیشتر:
وضعیت cPanel، Plesk و کنترل پنلهای هاستینگ
بسیاری از کنترل پنلهای هاستینگ از قبل قابلیتهایی مثل AutoSSL یا تمدید خودکار گواهی دارند. اما کوتاهتر شدن اعتبار SSL باعث میشود این قابلیتها باید جدیتر مانیتور شوند.
در cPanel، AutoSSL میتواند برای دامنههای اکانتها گواهی صادر و تمدید کند. اما همچنان چند مورد باید بررسی شود:
- دامنه باید به سرور درست اشاره کند.
- رکوردهای DNS باید سالم باشند.
- دامنه نباید پشت تنظیمات اشتباه CDN یا proxy دچار validation failure شود.
- ایمیلهای هشدار باید به آدرس درست ارسال شوند.
- خطاهای AutoSSL باید مرتب بررسی شوند.
اگر از سرور لینوکسی با کنترل پنل استفاده میکنید، مقاله چکلیست امنیت cPanel و WHM و صفحه لایسنس cPanel میتوانند برای مدیریت بهتر زیرساخت مفید باشند.
مرحله ۱: فهرست کامل گواهیهای SSL را تهیه کنید
اولین قدم آمادگی، داشتن inventory کامل است. بسیاری از سازمانها فقط گواهیهای سایت اصلی را میشناسند، اما گواهیهای مهم دیگری هم دارند.
مواردی که باید فهرست شوند:
- دامنه اصلی سایت
- سابدامنهها
- APIها
- پنل مشتریان
- وبمیل و کنترل پنلها
- Load Balancerها
- CDNها
- سرویسهای داخلی و staging
- اپلیکیشنهای موبایل که به APIهای HTTPS متصل میشوند
- گواهیهای wildcard و SAN
برای هر گواهی این اطلاعات را ثبت کنید:
| اطلاعات | توضیح |
|---|---|
| دامنه یا سرویس | مثلاً example.com یا api.example.com |
| محل نصب | سرور، CDN، Load Balancer، کنترل پنل، اپلیکیشن |
| نوع گواهی | DV، OV، EV، Wildcard یا SAN |
| CA صادرکننده | Certum، Let’s Encrypt یا سایر CAها |
| تاریخ انقضا | برای مانیتورینگ و هشدار |
| روش تمدید | دستی، AutoSSL، ACME، پنل هاستینگ یا ابزار سازمانی |
| مسئول داخلی | تیم یا فردی که مسئول تمدید است |
مرحله ۲: مانیتورینگ انقضای SSL را فعال کنید
هیچ سازمانی نباید فقط به ایمیل یادآوری CA تکیه کند. باید مانیتورینگ مستقل برای تاریخ انقضای SSL داشته باشید.
هشدارها بهتر است در چند بازه ارسال شوند:
- ۳۰ روز قبل از انقضا
- ۱۴ روز قبل از انقضا
- ۷ روز قبل از انقضا
- ۳ روز قبل از انقضا
- ۲۴ ساعت قبل از انقضا
برای SSLهای ۴۷روزه، حتی هشدار ۳۰روزه ممکن است خیلی نزدیک به چرخه صدور باشد. بنابراین باید هشدارها با فرآیند اتوماسیون هماهنگ شوند، نه فقط برای کار دستی استفاده شوند.
مانیتورینگ باید این موارد را پوشش دهد:
- تاریخ انقضای گواهی
- درست بودن certificate chain
- مطابقت نام دامنه با گواهی
- مشکل در intermediate certificate
- عدم نصب گواهی جدید بعد از تمدید
- خطاهای TLS در سرویسهای داخلی و عمومی
مرحله ۳: تمدید و نصب SSL را تا حد امکان خودکار کنید
در مدل جدید، هدف باید این باشد که تمدید SSL بدون دخالت دستی انجام شود. یعنی سیستم خودش اعتبارسنجی کند، گواهی جدید بگیرد، آن را نصب کند و سرویس مربوط را reload کند.
اتوماسیون باید شامل این مراحل باشد:
- اعتبارسنجی دامنه
- صدور یا reissue گواهی
- نصب گواهی روی سرور یا سرویس
- نصب chain صحیح
- reload یا restart امن سرویس
- تست بعد از نصب
- ارسال گزارش موفقیت یا خطا
برای سایتهای ساده، AutoSSL یا ACME معمولاً کافی است. برای سازمانهای بزرگتر، بهتر است از Certificate Lifecycle Management یا ابزارهای متمرکز مدیریت گواهی استفاده شود.
مرحله ۴: سیستمهای قدیمی و ناسازگار را شناسایی کنید
همه سیستمها آماده اتوماسیون SSL نیستند. بعضی تجهیزات شبکه، اپلیکیشنهای قدیمی، پنلهای اختصاصی، نرمافزارهای داخلی یا دستگاههای سختافزاری ممکن است نصب خودکار گواهی را پشتیبانی نکنند.
سیستمهای پرریسک:
- Load Balancerهای قدیمی
- Firewallها و VPNهای قدیمی
- پنلهای مدیریتی داخلی
- اپلیکیشنهای legacy
- سرویسهایی که نیاز به نصب دستی certificate دارند
- دستگاههایی که فقط فایل خاصی از فرمت گواهی را میپذیرند
برای این سیستمها باید از همین حالا برنامه داشته باشید: یا اتوماسیون اضافه کنید، یا فرآیند نصب را سادهتر کنید، یا در صورت امکان آنها را به نسخههای جدیدتر ارتقا دهید.
مرحله ۵: ایمیلها و مسئولیتهای تمدید را اصلاح کنید
یکی از دلایل رایج انقضای SSL این است که ایمیل هشدار به آدرسی ارسال میشود که دیگر کسی آن را چک نمیکند. با کوتاهتر شدن اعتبار گواهیها، این مشکل خطرناکتر میشود.
اقدامات پیشنهادی:
- ایمیل ثبتشده در حساب CA را بررسی کنید.
- ایمیلهای admin@، webmaster@ و postmaster@ دامنهها را مانیتور کنید.
- هشدارها را به یک mailbox گروهی ارسال کنید.
- مسئول تمدید و جایگزین او را مشخص کنید.
- فرآیند escalation برای هشدارهای نزدیک به انقضا داشته باشید.
اگر همزمان در حال مدیریت دامنهها هستید، مطمئن شوید اطلاعات مالکیت و DNS دامنهها نیز درست است. برای ثبت یا مدیریت دامنه میتوانید صفحه ثبت دامنه را ببینید.
چکلیست آمادگی برای SSLهای کوتاهمدت
| اقدام | توضیح | اولویت |
|---|---|---|
| فهرست گواهیها | همه SSLهای عمومی، داخلی، APIها و سرویسها را ثبت کنید | خیلی بالا |
| مانیتورینگ انقضا | هشدارهای چندمرحلهای برای انقضای SSL فعال کنید | خیلی بالا |
| اتوماسیون | ACME، AutoSSL یا ابزار CLM را پیادهسازی کنید | خیلی بالا |
| تست تمدید | فرآیند reissue و renew را قبل از deadline تست کنید | بالا |
| بررسی DNS | مطمئن شوید DCV از طریق DNS یا HTTP بدون مشکل انجام میشود | بالا |
| Legacy Systems | سیستمهایی که نصب خودکار SSL ندارند را شناسایی کنید | بالا |
| ایمیل هشدار | ایمیلهای CA و هشدارهای تمدید را به mailbox فعال منتقل کنید | بالا |
| مستندسازی | مسئولیتها، فرآیندها و نقاط نصب گواهی را مستند کنید | متوسط |
| آموزش تیم | تیم فنی، پشتیبانی و DevOps را با زمانبندی جدید آشنا کنید | متوسط |
جمعبندی
کاهش اعتبار گواهیهای SSL/TLS به ۴۷ روز یکی از مهمترین تغییرات عملیاتی در دنیای امنیت وب است. این تغییر از مارس ۲۰۲۶ شروع میشود، در ۲۰۲۷ شدیدتر میشود و در ۲۰۲۹ به نقطهای میرسد که مدیریت دستی SSL برای بیشتر سازمانها عملاً قابل اتکا نخواهد بود.
هدف اصلی این تغییر، افزایش امنیت، کاهش ریسک کلیدهای لو رفته، بهروزرسانی سریعتر استانداردها و اعتبارسنجی مکرر اطلاعات گواهیهاست. اما در سمت عملیاتی، فشار زیادی روی مدیران سایت، شرکتهای هاستینگ، سازمانها و تیمهای DevOps ایجاد میکند.
برای جلوگیری از قطعی سایت، خطای مرورگر و اختلال در سرویسها، باید از همین حالا فهرست کامل گواهیها را تهیه کنید، مانیتورینگ انقضا راهاندازی کنید، فرآیندهای دستی را حذف کنید و تا حد امکان از ACME، AutoSSL یا ابزارهای مدیریت چرخه عمر گواهی استفاده کنید.
اگر سایت شما روی هاست لینوکس، هاست وردپرس آلمان، هاست وردپرس ایران یا سرویسهای چنددامنهای میزبانی میشود، از همین حالا وضعیت تمدید SSL، مانیتورینگ و اتوماسیون را بررسی کنید. در دوره SSLهای ۴۷روزه، فراموشی تمدید دیگر یک خطای کوچک نیست؛ میتواند مستقیماً به قطعی سایت و از دست رفتن اعتماد کاربران منجر شود.
سوالات متداول
آیا اعتبار SSL واقعاً به ۴۷ روز کاهش پیدا میکند؟
بله. طبق زمانبندی جدید CA/Browser Forum و اطلاعیههای CAها، حداکثر اعتبار گواهیهای عمومی SSL/TLS بهصورت مرحلهای کاهش مییابد و از مارس ۲۰۲۹ به ۴۷ روز میرسد.
از چه تاریخی اعتبار SSL کوتاهتر میشود؟
مرحله اول از ۱۵ مارس ۲۰۲۶ با کاهش به ۲۰۰ روز شروع میشود. مرحله دوم از ۱۵ مارس ۲۰۲۷ با کاهش به ۱۰۰ روز و مرحله نهایی از ۱۵ مارس ۲۰۲۹ با کاهش به ۴۷ روز اجرا میشود.
آیا گواهیهای فعلی من باطل میشوند؟
خیر. گواهیهایی که قبل از هر مرحله صادر شدهاند، معمولاً تا تاریخ انقضای خود معتبر میمانند. محدودیت جدید روی گواهیهایی اعمال میشود که بعد از تاریخهای مشخص صادر یا reissue میشوند.
آیا این تغییر شامل SSL رایگان هم میشود؟
بله. این تغییر مربوط به گواهیهای عمومی SSL/TLS است و به رایگان یا پولی بودن گواهی محدود نمیشود.
آیا SSLهای OV و EV هم تحت تأثیر قرار میگیرند؟
بله. گواهیهای DV، OV و EV همگی باید با محدودیتهای جدید اعتبار سازگار شوند. برای OV و EV بهدلیل اعتبارسنجی سازمانی، برنامهریزی زودتر مهمتر است.
DCV چیست و چرا مهم شده است؟
DCV یا Domain Control Validation یعنی اعتبارسنجی کنترل دامنه. با کوتاهتر شدن دوره reuse این اعتبارسنجی، ممکن است هنگام تمدید یا reissue گواهی نیاز به اعتبارسنجی مجدد دامنه داشته باشید.
آیا تمدید دستی SSL هنوز کافی است؟
برای تعداد کم گواهی شاید موقتاً ممکن باشد، اما با رسیدن اعتبار گواهیها به ۱۰۰ روز و سپس ۴۷ روز، تمدید دستی برای بیشتر سازمانها پرریسک و غیرقابل اتکا خواهد بود.
ACME چه کمکی میکند؟
ACME فرآیند صدور، تمدید و نصب گواهی را خودکار میکند. با کاهش اعتبار SSL، استفاده از ACME یا ابزارهای مشابه برای جلوگیری از قطعی سرویس بسیار مهم میشود.
اگر SSL سایت من منقضی شود چه اتفاقی میافتد؟
مرورگرها به کاربران هشدار امنیتی نمایش میدهند، اعتماد کاربران کاهش مییابد، پرداخت آنلاین و APIها ممکن است مختل شوند و فروش یا اعتبار سایت آسیب میبیند.
از کجا باید شروع کنم؟
اول همه گواهیهای SSL/TLS خود را فهرست کنید، سپس مانیتورینگ انقضا راهاندازی کنید و بعد تمدید و نصب گواهیها را با ACME، AutoSSL یا ابزارهای مدیریت گواهی خودکار کنید.
